Fecha de publicaciĂłn: 07/07/2022
Importancia:
CrĂtica
Recursos afectados:
- OpenSSL 3.0.4
- OpenSSL 1.1.1
- OpenSSL 3.0
DescripciĂłn:
OpenSSL ha informado de varias vulnerabilidades descubiertas por los investigadores Xi Ruoyao y Alex Chernyakhovsky las cuales podrĂan permitir una ejecuciĂłn remota de cĂłdigo en la mĂĄquina afectada.
SoluciĂłn:
OpenSSL ha publicado las siguientes versiones para corregir estas vulnerabilidades:
- OpenSSL 3.0.5
- OpenSSL 1.1.1q
Detalle:
La vulnerabilidad mĂĄs grave afectarĂa Ășnicamente a la versiĂłn OpenSSL 3.0.4 y se produce por un error grave en la implementaciĂłn RSA para procesadores con CPU X86_64 y compatibles, debido a una implementaciĂłn incorrecta de las instrucciones AVX512IFMA en el algoritmo RSA al procesar las claves privadas de 2048 bits, causando corrupciĂłn de la memoria en el sistema afectado y permitiendo a un atacante desencadenar una ejecuciĂłn remota de cĂłdigo. Se ha asignado el identificador CVE-2022-2274 para esta vulnerabilidad.
OpenSSL tambiĂ©n ha informado de otra vulnerabilidad menos grave corregida el 5 de julio y corregido en las versiones 1.1.1q y 3.0.5 que permitirĂa revelar diecisĂ©is bytes en el modo AES OCB al utilizar el ensamblado AES-NI para cifrar los datos. Se ha asignado el identificador CVE-2022-2097 para esta vulnerabilidad.
Etiquetas:
ActualizaciĂłn, Comunicaciones, Privacidad, SSL/TLS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.